Łukasz Lasek, Iwo Małobęcki

Jak pozwać naruszyciela praw w internecie, gdy znany jest tylko adres IP?

W internecie nikt nie jest anonimowy, jednak sam numer IP komputera, z którego dokonano naruszenia, nie wystarcza do skutecznego wytoczenia powództwa cywilnego. Konieczne są dane osobowe właściciela urządzenia, z którego dokonano naruszenia.

Po co powodowi adres IP?

Nie ma wątpliwości, że działalność w sieci pozostawia po sobie cyfrowe ślady w postaci numerów IP. Podstawową funkcją adresu IP jest identyfikacja urządzeń w sieci. Duża ilość użytkowników sieci sprawia, że nie każdy użytkownik ma swój stały adres IP. Najczęściej jest tak, że dostawca usługi dostępu do internetu dysponuje pewną pulą adresów, którą rozdysponowuje użytkownikom stosownie do aktualnych potrzeb. Jednocześnie usługodawcy prowadzą rejestr pozwalający ustalić, który abonent w danym okresie korzystał z konkretnego numeru. Oznacza to, że korelując czas i adres IP jesteśmy w stanie ustalić dane konkretnego abonenta, z którego urządzenia doszło do naruszenia naszych praw. Naturalnie należy pamiętać, że nie we wszystkich przypadkach właściciel urządzenia będzie sprawcą naruszenia.

Regulacja prawna

Orzecznictwo sądów oraz organów administracji wskazuje, że w przypadku, gdy adres IP jest na stałe lub na dłuższy okres przypisany do konkretnego urządzenia, należącego do konkretnego użytkownika, należy uznać, że stanowi on daną osobową w rozumieniu art. 6 ust. 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.; dalej „u.o.d.o.”). Uznanie adresu IP za danę osobową sprawia, że możliwe jest uzyskanie takiej informacji, jeżeli spełnione zostaną przesłanki ustawy o ochronie danych osobowych.

Istota problemu sprowadza się do tego, że obowiązujące w Polsce przepisy i praktyka ich stosowania nie pozwalają na skuteczne uzyskanie danych osobowych na potrzeby postępowania cywilnego przez podmioty prywatne.

Brak jest w tym zakresie jasnych regulacji prawnych, które dawałyby administratorom tych danych stosowne podstawy do ich udostępniania. Dotyczy to zarówno dostawców usług telekomunikacyjnych, których działalność reguluje ustawa z 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. z 2004 r. Nr 171, poz. 1800, ze zm.), jak i podmiotów świadczących usługi drogą elektroniczną, których funkcjonowanie regulowane jest przez ustawę z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2002 r. Nr 144, poz. 1204, ze zm.).

Dla skutecznego dochodzenia ujawnienia danych osobowych naruszyciela w internecie istotne znaczenie ma fakt uchylenia w 2011 roku art. 29 i art 30 u.o.d.o.. Przepisy te precyzowały bowiem, że dane mogą być udostępnione podmiotom prywatnym, gdy w sposób wiarygodny uzasadnią one potrzebę posiadania tych danych, a ujawnienie nie naruszy praw i wolności innych osób. Wskazuje się, że obecnie za podstawę ujawnienia może służyć art. 23 ust. 1 pkt 5 u.o.d.o. Pozwala on na pozyskanie danych osobowych w przypadku legitymowania się przez odbiorcę danych prawnie usprawiedliwionym celem. Liczne klauzule generalne sprawiają, że wniosek o udostępnienie danych naruszyciela powinien pozwalać administratorowi na ocenę dopuszczalności udostępnienia oraz udokumentowanie jego podstaw.

Ze względu na brak jasnego uregulowania kwestii udostępniania danych osobowych na potrzeby ochrony dóbr osobistych i praw majątkowych w internecie, zarówno dostawcy usług telekomunikacyjnych, jak i podmioty świadczące usługi drogą elektroniczną stosunkowo rzadko przychylają się do wniosków o udostępnienie danych podmiotów prywatnych.

W przypadku, gdy administratorem danych jest dostawca usług telekomunikacyjnych, informacje dotyczące abonenta numeru IP chronione są przed udostępnianiem tajemnicą telekomunikacyjną (art. 159 ust. 1 i 2 Prawa telekomunikacyjnego) Nie ma ona jednak charakteru bezwzględnego. Dostawca usług internetowych może być zwolniony z tajemnicy telekomunikacyjnej, gdy jest to konieczne z powodów przewidzianych ustawą lub przepisami szczególnymi (art. 159 ust. 2 pkt 4 Prawa telekomunikacyjnego). Kwestia ta została doprecyzowana przez Naczelny Sąd Administracyjny w wyroku z 19 maja 2011 r. (sygn. akt I OSK 1079/10), który zapadł po tym, jak podmiot zniesławiony na forum internetowym zażądał ujawnienia danych osobowych autora wpisu. W rozstrzygnięciu NSA stwierdził, iż dochodzenie ochrony dóbr osobistych uzasadnia udostępnienie danych osobowych abonenta numeru IP przez dostawcę usług komunikacyjnych, wykluczając jednocześnie ewentualny zarzut naruszenia tajemnicy telekomunikacyjnej. NSA w uzasadnieniu swojego rozstrzygnięcia podkreślił, że anonimowość w sieci nie może zapewniać bezkarności.

Czy pomoże GIODO?

Alternatywą umożliwiającą pokrzywdzonemu uzyskanie danych osobowych naruszyciela od dostawców usług telekomunikacyjnych i podmiotów świadczących usługi drogą elektroniczną może być decyzja Generalnego Inspektora Danych Osobowych. Zgodnie z art. 12 pkt 1 u.o.d.o. do zadań GIODO należy kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych. W ramach posiadanej kompetencji GIODO odpowiada również za kontrolę udostępniania danych osobowych, wydając decyzję nakazującą administratorowi udostępnienie bądź nieudostępnianie tych danych. Uprawnionym do złożenia wniosku o wydanie powyższej decyzji jest podmiot, któremu administrator odmówił udostępnienia danych lub któremu nie odpowiedział na wniosek. GIODO, wydając decyzje, bierze pod uwagę przesłanki z art. 23 ust. 1 u.o.d.o. Od decyzji nakazującej udostępnienie danych dostawca usług telekomunikacyjnych lub podmiot świadczący usługi drogą elektroniczną mogą się odwołać do sądu administracyjnego. Praktyka pokazuje, że administratorzy danych bardzo często korzystają z tej drogi, co przyczynia się do wydłużenia postępowania i naraża pokrzywdzonego na dodatkowe koszty.

Karny know-how – czyli jak jednak uzyskać potrzebne dane?

Niemożność uzyskania danych osobowych na potrzeby spraw cywilnych w praktyce bardzo często prowadzi do skorzystania z instrumentów prawa karnego. W przypadku bowiem spraw karnych sąd lub prokurator mogą wydać postanowienie zwalniające administratorów danych z tajemnicy służbowej i nakazać im ujawnienie żądanych danych. Z jednej strony zwiększa to atrakcyjność karnoprawnej ochrony czci (zniewaga – art. 216 Kodeksu karnego, zniesławienie – art. 212 k.k.) Jakkolwiek zarówno Trybunał Konstytucyjny, jak i Europejski Trybunał Praw Człowieka uznają istnienie tych regulacji za zgodne z wolnością słowa, niewątpliwie jednak zasadniczym i proporcjonalnym środkiem ochrony dóbr osobistych czy praw własności intelektualnej powinno być prawo cywilne. Z drugiej strony brak możliwości uzyskania danych osobowych na potrzeby postępowania cywilnego sprawia, że często dochodzi do instrumentalnego wykorzystywania procedury karnej. Zamiast cywilnego postępowania o ochronę dóbr osobistych wytaczane jest prywatnoskargowe postępowanie karne o ochronę czci albo wszczyna się postępowania karne tylko w tym celu, aby ustalić dane sprawcy. Druga z przedstawionych możliwości regulowana jest przez art. 488 Kodeksu postępowania karnego (k.p.k.). Przepis ten oferuje pokrzywdzonemu alternatywną drogę procesową w celu ochrony jego dóbr w internecie. Jeśli pokrzywdzony nie jest w stanie ustalić sprawcy przestępstwa ściganego z prywatnego oskarżenia (np. posiada jedynie adres IP komputera, z którego dokonano naruszenia), może skorzystać w tym zakresie z pośrednictwa policji, która po otrzymaniu przewidzianej w art. 488 § 1 k.p.k. pisemnej lub ustnej skargi zabezpiecza w razie potrzeby dowody popełnienia przestępstwa (ustalając m.in. dane osobowe abonenta adresu IP).

Luksemburg: Unia ani nie wymaga, ani nie zabrania

W omawianej kwestii w zakresie praw własności intelektualnej odnośnie do przepisów unijnych wypowiadał się już kilkakrotnie Trybunał Sprawiedliwości Unii Europejskiej.

W wyroku z 29 stycznia 2008 r. w sprawie C-275/06 Promusicae i postanowieniu z 19 lutego 2009 r. w sprawie C-557/07 LSG-Gesellschaft zur Wahrnehmung von Leistungsschutzrechten wskazał, że przepisy dyrektywy nr 2004/48 z 29 kwietnia 2004 r. w sprawie egzekwowania praw własności intelektualnej (Dz. U. UE z 30 kwietnia 2004 r. L 157/45) oraz przepisy dyrektywy nr 2002/58 z 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej nie stoją na przeszkodzie ustanowieniu przez państwa członkowskie obowiązku przekazania prywatnym podmiotom danych osobowych dotyczących ruchu w sieci, tak by umożliwić tym osobom wnoszenie do sądów cywilnych powództw o naruszenie praw własności intelektualnej. Trybunał zastrzegł jednakże, że ww. przepisy również nie nakładają na państwa zobowiązania do ustanowienia takiego obowiązku (pkt 54 i 55 Promusicae; pkt 25-29 LSG).

To więc od krajowych ustawodawców zależy, czy w danym państwie członkowskim będzie wprowadzony mechanizm prawny umożliwiający uzyskanie takich danych. Jak jednakże podkreślił Trybunał, pozostawiona państwom swoboda do nadania pierwszeństwa prawu do poszanowania życia prywatnego lub prawu ochrony praw własności intelektualnej jest obwarowana pewnymi wymogami. Te państwa, których prawo krajowe dopuszcza ujawnienie danych osobowych podmiotom prywatnym na potrzeby postępowania cywilnego, muszą zagwarantować, aby przepisy krajowe zapewniały odpowiednią równowagę między poszczególnymi prawami podstawowymi chronionymi przez porządek prawny UE. Przepisy te muszą zatem umożliwiać wyważenie przeciwstawnych interesów – ochronę praw własności intelektualnej, z której korzystają uprawnieni z tych praw, oraz ochronę danych osobowych i prywatności, z której korzystają abonenci i użytkownicy internetu. Trybunał podkreślił, że wyważenie tych interesów musi następować stosownie do okoliczności każdego przypadku, przy należytym uwzględnieniu zasady proporcjonalności.

Jak wskazał Trybunał w niedawnym wyroku z 19 kwietnia 2012 r. w sprawie C-461/10 Bonnier Audio AB, Earbooks AB, Norstedts Förlagsgrupp AB, Piratförlaget AB, Storyside AB przeciwko Perfect Communication Sweden AB, dotychczas wyrażony pogląd prawny zachowuje pełną aktualność także po wejściu w życie dyrektywy nr 2006/24 z 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniającej dyrektywę nr 2002/58.

Bonnier i pozostałe podmioty we wspomnianej sprawie są wydawcami książek audio i posiadają prawa wyłączne na ich rozpowszechnianie oraz udostępnianie. Wydawcy, w związku z naruszeniem przysługujących im praw autorskich poprzez udostępnienie bez ich zgody audiobooków na serwerach FTP umożliwiających wymianę plików, zwrócili się do szwedzkiego sądu o nakazanie dostawcy usług internetowych (Perfect Communications) ujawienia danych osoby, która zarejestrowana jest jako użytkownik adresu IP, z którego dokonano naruszenia. Sąd pierwszej instancji zgodził się z wnioskiem Bonnier i – zgodnie z brzmieniem przepisów szwedzkiego prawa autorskiego – nakazał wydanie tych danych. Perfect Communications złożyło zażalenie, argumentując, że ujawnienie takich danych byłoby sprzeczne z przepisami unijnej dyrektywy o przechowywaniu danych, które pozwalają na ujawnienie danych tylko właściwym organom krajowym. Sprawa trafiła do Sądu Najwyższego w Sztokholmie, który wobec wątpliwości co do wykładni prawa UE zdecydował się skierować do Trybunału pytanie prejudycjalne: czy dyrektywa nr 2006/24 wyklucza stosowanie przepisu prawa krajowego opartego na art. 8 dyrektywy nr 2004/48, na mocy którego można, w celu zidentyfikowania określonego abonenta, nakazać dostawcy usług internetowych ujawnienie uprawnionemu z prawa autorskiego na potrzeby postępowania cywilnego informacji o abonencie, któremu dostawca usług udostępnił określony adres IP, przy użyciu którego popełniono naruszenie.

W odpowiedzi na zapytanie szwedzkiego sądu Trybunał Sprawiedliwości uznał, że prawo unijne nie sprzeciwia się przepisom prawa krajowego, które dopuszczają ujawnienie danych osobowych abonenta lub użytkownika internetu na potrzeby postępowania cywilnego. Trybunał wskazał, że zawarte w dyrektywie nr 2006/24 ograniczenia co do celów gromadzenia i przechowywania danych, jak i sposobu ich ujawniania (tylko do celów dochodzenia, wykrywania i ścigania poważnych przestępstw, udostępniania wyłącznie organom krajowym) mają charakter autonomiczny i nie mogą rozciągać się poza przedmiotowy zakres zastosowania samej dyrektywy. Odrębność regulacji spowodowana jest tym, że w zakresie swojego zastosowania dyrektywa nr 2006/24 wyłącza ogólne przepisy o ochronie danych osobowych określone dyrektywą nr 2002/58. Oznacza to, że dane zbierane na podstawie przepisów prawa krajowego w celach innych niż określone dyrektywą nr 2006/24 podlegają ogólnemu reżimowi ochrony danych osobowych. A skoro tak, to aktualność zachowuje dotychczasowe orzecznictwo ze spraw Promusicae i LSG.

Nowością orzeczenia Bonnier w stosunku do poprzednich rozstrzygnięć jest wyraźne stwierdzenie, że przepisy dyrektywy nr 2006/24 dotyczące przechowywania danych nie mają wpływu na kwestię dopuszczalności uzyskiwania danych osobowych przez podmioty prywatne na potrzeby procesu cywilnego. Aktualne pozostaje zatem na gruncie prawa unijnego dotychczasowe stanowisko Trybunału, że to od ustawodawcy krajowego zależy, czy umożliwi on dostęp do tych danych.

Strasburg: ochrona prywatności nie jest bezwzględna

Warto jednak zwrócić uwagę, że standardy w tej kwestii, poza przepisami unijnymi, kształtowane są także przez krajowe normy konstytucyjne oraz Europejską Konwencję Praw Człowieka. Szczególnie warto zwracać uwagę na orzecznictwo Europejskiego Trybunału Praw Człowieka w Strasburgu, który w tej materii może przyczyniać się do kształtowania jednolitego europejskiego standardu. Trzeba zauważyć, że w precedensowej sprawie K.U. przeciwko Finlandii Trybunał wyraźnie stwierdził, że wolność słowa i poufność komunikacji są istotnymi wartościami i użytkownicy internetu powinni mieć gwarancję, że ich prywatność i swoboda wypowiedzi będą chronione, jednakże gwarancja ta nie może mieć charakteru absolutnego, a w określonych sytuacjach, takich jak zapobieganie przestępstwom czy ochrona praw i wolności innych osób, może być ograniczana (wyrok ETPCz z 2 grudnia 2008 r., w sprawie K.U. przeciwko Finlandii, skarga nr 2872/02, pkt 49). W tej sprawie Finlandia w ocenie Trybunału naruszała prawa jednostki, ponieważ nie umożliwiała w chwili naruszenia uzyskania danych osobowych sprawcy przestępstwa w internecie.

Jak byłoby lepiej?

O ile ochrona danych osobowych powinna być priorytetem, jakim powinna się kierować regulacja mediów elektronicznych, o tyle pozbawienie pokrzywdzonego możliwości ochrony jego praw stanowi zaprzeczenie podstawowych praw jednostki – zarówno w polskim, jak i europejskim systemie prawa. Uniemożliwienie podmiotom prywatnym uzyskania danych osobowych naruszyciela spowoduje, że internet pozostanie medium, w którym w wielu przypadkach ochrona dóbr osobistych i praw własności intelektualnej nie będzie możliwa. Wydaje się, że konieczny jest skuteczny mechanizm umożliwiający osobom, których prawa zostały naruszone, rozpoczęcie skutecznego postępowania cywilnego. Mechanizm ten – tak jak wymaga tego Trybunał Sprawiedliwości – winien mieć wbudowane gwarancje wykluczające pełen automatyzm, ażeby nie dopuścić do nadużyć tej instytucji do celów bezzasadnego zastraszania internautów.

Łukasz Lasek, Iwo Małobęcki, Zespół Własności Intelektualnej kancelarii Wardyński i Wspólnicy